KR102295654B1 - Method and apparatus for predicting attack target based on attack graph - Google Patents

Method and apparatus for predicting attack target based on attack graph Download PDF

Info

Publication number
KR102295654B1
KR102295654B1 KR1020190166029A KR20190166029A KR102295654B1 KR 102295654 B1 KR102295654 B1 KR 102295654B1 KR 1020190166029 A KR1020190166029 A KR 1020190166029A KR 20190166029 A KR20190166029 A KR 20190166029A KR 102295654 B1 KR102295654 B1 KR 102295654B1
Authority
KR
South Korea
Prior art keywords
asset
attack
information
graph
relationship
Prior art date
Application number
KR1020190166029A
Other languages
Korean (ko)
Other versions
KR20210074891A (en
Inventor
고장혁
김진수
오행록
전성구
장윤하
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020190166029A priority Critical patent/KR102295654B1/en
Publication of KR20210074891A publication Critical patent/KR20210074891A/en
Application granted granted Critical
Publication of KR102295654B1 publication Critical patent/KR102295654B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

개시된 공격 대상 예측 장치는, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출부, 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정부, 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성부, 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함한다.The disclosed attack target prediction device includes an information extraction unit for extracting asset information including vulnerability information, network information, and application information, a data relationship setting unit for setting a correlation for the asset information, and the asset information and the correlation relationship. and an attack graph generating unit that generates an attack graph using the reachability and vulnerability determined based on the attack graph, and an attack target analysis unit that predicts an attack target based on an attack path searched based on the attack graph.

Figure R1020190166029
Figure R1020190166029

Description

공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치{METHOD AND APPARATUS FOR PREDICTING ATTACK TARGET BASED ON ATTACK GRAPH}Attack graph-based attack target prediction method and device therefor

본 발명은 공격 그래프를 기반으로 공격 대상을 예측하는 방법 및 그를 위한 장치에 관한 것이다.The present invention relates to a method for predicting an attack target based on an attack graph and an apparatus therefor.

이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The content described in this section merely provides background information on the embodiments of the present invention and does not constitute the prior art.

최근 사이버 공격이 증가함에 따라 기업 및 각 기관에서는 사이버 공격을 대비하고 기업/기관의 정보자산을 지키기 위해 다양한 보안 시스템을 설치 및 운영하며 해킹 등과 같은 사이버 공격에 안전한 네트워크를 구성하기 위해 노력하고 있다.With the recent increase in cyberattacks, companies and institutions are working to prepare for cyberattacks and to install and operate various security systems to protect corporate/institutional information assets, and to construct a safe network against cyberattacks such as hacking.

하지만, 지속적으로 발전하는 사이버 공격 앞에서 보안 전문가들도 기업/기관의 네트워크가 안전한지 확신하지 못하고 있고 기하급수적으로 늘어가는 최신의 취약점들을 모두 파악하지 못하고 있으며, 기업/기관의 내/외부에서 어떤 취약점 및/또는 경로를 통해 사이버 공격이 일어날 수 있는지 확신하지 못하고 있다.However, in the face of continuously developing cyber attacks, even security experts are not sure whether the corporate/institutional network is secure, and they do not understand all the latest vulnerabilities that are increasing exponentially, and/or unsure whether a cyberattack can occur through the route.

공격 그래프(Attack Graph)는 이러한 문제점을 해결하기 위해 기업/기관의 네트워크 환경 및/또는 취약점을 분석하여 공격자가 네트워크상에서 어떤 루트로 기업/기관의 핵심 정보자산에 도달할 수 있는지에 대한 공격 패스를 보여주기 위한 기법이다. 이를 통해서, 기업/기관의 네트워크 관리자는 사이버 공격을 방어하기 위해 네트워크상의 어떤 부분에 우선적으로 집중해야 하는지 확인할 수 있다.The Attack Graph analyzes the network environment and/or vulnerabilities of companies/institutions to solve these problems, and analyzes the attack path for an attacker to reach the core information assets of the company/organization through which route on the network. It's a way to show Through this, network administrators of enterprises/organizations can identify which parts of the network to focus on first in order to defend against cyber attacks.

대한민국등록특허 제10-18932530000호에는 복잡한 네트워크 연결 및 다수의 취약점을 갖는 네트워크 환경에서 네트워크 관리자를 위해 네트워크 시스템의 취약점을 분석하고 외부 또는 내부로부터의 정량적 평가에 의해 공격 그래프를 제시하고 공격 그래프로부터 최적의 침투 경로를 제시하는 기법이 개시되어 있다.Korean Patent Registration No. 10-18932530000 discloses an attack graph by analyzing the vulnerabilities of a network system for network administrators in a network environment with complex network connections and multiple vulnerabilities, and quantitative evaluation from the outside or from the inside, and optimally from the attack graph. A technique for suggesting a penetration pathway of

하지만, 이러한 최적의 침투 경로를 제시하는 기법에서는 침투 경로 예측의 정확도의 설정에 따라 예측 결과가 달라지게 된다. 종래에는 공격 그래프 생성시 취약점을 가지고 공격 그래프를 생성하였으나 취약점이 실행 가능한 애플리케이션 관련정보를 포함하지 않아 실제 취약점을 이용하여 공격 가능한지 신뢰성이 저하 되었다.However, in the technique of suggesting such an optimal penetration path, the prediction result varies according to the setting of the accuracy of the penetration path prediction. Conventionally, when generating an attack graph, an attack graph is generated with a vulnerability, but the vulnerability does not include executable application-related information, so the reliability of whether an attack can be performed using an actual vulnerability is lowered.

또한, 종래에는 자산의 토폴로지 관계, 취약점 정보 등을 관계형 DB(RDB: Relational Database)를 저장하고, 공격 탐색 조건이 주어진 시점에서 관계형 DB를 조회하여 공격 그래프를 생성하기 때문에 성능 저하의 원인이 된다. 이에, 종래의 취약점 기반의 사이버 공격그래프 기술의 예측의 정확도 및 성능을 향상시키기 위한 기술이 필요하다.In addition, conventionally, a relational DB (RDB) is stored for topological relationships and vulnerability information of assets, and an attack graph is generated by querying the relational DB at a time point given an attack search condition, which causes performance degradation. Accordingly, there is a need for a technology for improving the accuracy and performance of prediction of the conventional vulnerability-based cyber attack graph technology.

일 실시예에 따른 해결하고자 하는 과제는, 취약점 정보와 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하여 공격 대상을 예측하는 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치를 제공하는 데 있다.The task to be solved according to an embodiment is an attack graph-based attack that predicts an attack target by generating an attack graph using reachability and vulnerability determined based on asset information including vulnerability information, network information, and application information An object prediction method and an apparatus therefor are provided.

해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The problem to be solved is not limited to those mentioned above, and another problem to be solved that is not mentioned will be clearly understood by those of ordinary skill in the art to which the present invention belongs from the following description.

제 1 관점에 따른 공격 대상 예측 장치는, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출부; 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정부; 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성부; 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함한다.An attack target prediction apparatus according to a first aspect includes: an information extraction unit for extracting asset information including vulnerability information, network information, and application information; a data relationship setting unit for establishing a relationship with respect to the asset information; an attack graph generating unit for generating an attack graph using the reachability and vulnerability determined based on the asset information and the correlation; and an attack target analysis unit for predicting an attack target based on an attack path searched based on the attack graph.

제 2 관점에 따른 공격 대상 예측 장치의 공격 대상 예측 방법은, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출 단계; 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정 단계; 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성 단계; 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석 단계를 포함한다.An attack target prediction method of an attack target prediction apparatus according to a second aspect includes: an information extraction step of extracting asset information including vulnerability information, network information, and application information; a data relationship setting step of setting a correlation relationship with respect to the asset information; an attack graph generating step of generating an attack graph using the reachability and vulnerability determined based on the asset information and the correlation; and an attack target analysis step of predicting an attack target based on the attack path searched based on the attack graph.

일 실시예에 따르면, 네트워크 정보 및 취약점 정보에 자산에서 실행 가능한 애플리케이션에 대한 정보를 추가로 고려함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 향상된다.According to an embodiment, by additionally considering information on applications executable in an asset to network information and vulnerability information, prediction accuracy of an attack target using an attack graph is improved.

또한, 취약점, 네트워크 및 애플리케이션 정보에 대하여 대규모의 상황정보를 수집 및 표현하기 위한 그래프 DB를 활용함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 더욱 향상된다.In addition, by utilizing a graph DB for collecting and expressing large-scale context information for vulnerability, network and application information, the accuracy of predicting an attack target using the attack graph is further improved.

또한, 공격 경로에서 취약점, 네트워크 설정정보 및 애플리케이션 정보를 통해 자산의 취약점 및 접근 권한 등을 고려하여 공격 대상을 예측함으로써, 공격경로 상의 네트워크 자산의 피해를 예방할 수 있는 효과가 있다.In addition, there is an effect of preventing damage to network assets on the attack path by predicting an attack target in consideration of vulnerabilities and access rights of assets through vulnerabilities, network configuration information, and application information in the attack path.

도 1은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 장치를 개략적으로 나타낸 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법을 설명하기 위한 순서도이다.
도 3은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 대상 예측 및 공격 대상의 위험도를 분석하는 동작을 설명하기 위한 순서도이다.
도 4는 본 발명의 실시예에 따른 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 취약점 정보 및 애플리케이션 정보를 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 그래프의 생성하고, 공격 대상 및 경로를 예측하는 동작을 설명하기 위한 도면이다.
도 7은 본 발명의 실시예에 따른 공격 대상 예측 장치의 공격 대상 위험도의 분석 결과를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법과 종래의 공격 대상 예측 방법을 비교하여 설명하기 위한 도면이다.1 is a block diagram schematically showing an attack target prediction apparatus based on an attack graph according to an embodiment of the present invention.
2 is a flowchart illustrating an attack target prediction method based on an attack graph according to an embodiment of the present invention.
3 is a flowchart illustrating an operation of predicting an attack target and analyzing the risk of an attack target in the attack target prediction apparatus according to an embodiment of the present invention.
4 is a diagram for explaining an operation of processing an asset relationship graph based on network information according to an embodiment of the present invention.
5 is a diagram for explaining an operation of processing an asset relationship graph based on network information for vulnerability information and application information according to an embodiment of the present invention.
6 is a diagram for explaining an operation of generating an attack graph and predicting an attack target and a path in the attack target prediction apparatus according to an embodiment of the present invention.
7 is a diagram illustrating an analysis result of an attack target risk of an attack target prediction apparatus according to an embodiment of the present invention.
8 is a diagram for explaining a comparison between an attack target prediction method based on an attack graph according to an embodiment of the present invention and a conventional attack target prediction method.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various forms, and only these embodiments allow the disclosure of the present invention to be complete, and those of ordinary skill in the art to which the present invention pertains. It is provided to fully inform the person of the scope of the invention, and the scope of the invention is only defined by the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, detailed descriptions of well-known functions or configurations will be omitted except when it is actually necessary to describe the embodiments of the present invention. In addition, the terms to be described later are terms defined in consideration of functions in an embodiment of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the content throughout this specification.

또한, 본 명세서 및 청구범위에서는 구성요소들 간의 구별을 위하여 '제 1', '제 2' 등과 같이 서수를 포함하는 용어가 사용될 수 있다. 이러한 서수는 동일 또는 유사한 구성 요소들을 서로 구별하기 위하여 사용하는 것이며, 이러한 서수 사용으로 인하여 용어의 의미가 한정 해석되어서는 안 될 것이다. 일 예로, 이러한 서수와 결합된 구성 요소는 그 숫자에 의해 사용 순서나 배치 순서 등이 제한 해석되어서는 안 된다. 필요에 따라서는, 각 서수들은 서로 교체되어 사용될 수도 있다.Also, in this specification and claims, terms including ordinal numbers such as 'first' and 'second' may be used to distinguish between elements. This ordinal number is used to distinguish the same or similar components from each other, and the meaning of the term should not be limitedly interpreted due to the use of the ordinal number. As an example, for the components combined with such an ordinal number, the order of use or the arrangement order should not be construed as being limited by the number. If necessary, each ordinal number may be used interchangeably.

본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, the singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as 'comprise' or 'comprise' are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification is present, and one or more other It should be understood that this does not preclude the possibility of addition or presence of features or numbers, steps, operations, components, parts, or combinations thereof.

또한, 본 발명의 실시예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.Also, in the embodiment of the present invention, when a part is connected to another part, this includes not only direct connection but also indirect connection through another medium. In addition, the meaning that a certain component includes a certain component does not exclude other components unless otherwise stated, but may further include other components.

도 1은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 장치를 개략적으로 나타낸 블록 구성도이다. 1 is a block diagram schematically showing an attack target prediction apparatus based on an attack graph according to an embodiment of the present invention.

본 실시예에 따른 공격 대상 예측 장치(100)는 정보 추출부(110), 데이터 관계 설정부(120), 공격 그래프 생성부(130) 및 공격 대상 분석부(140)를 포함한다. 도 1의 공격 대상 예측 장치(100)는 일 실시예에 따른 것으로서, 도 1에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 공격 대상 예측 장치(100)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다. The attack target prediction apparatus 100 according to the present embodiment includes an information extraction unit 110 , a data relationship setting unit 120 , an attack graph generation unit 130 , and an attack target analysis unit 140 . The attack target prediction apparatus 100 of FIG. 1 is according to an embodiment, and not all blocks shown in FIG. 1 are essential components, and in another embodiment, some blocks included in the attack target prediction apparatus 100 are added. , may be changed or deleted.

본 실시예에 따른 공격 대상 예측 장치(100)는 네트워크로 연결된 복수의 자산을 포함하는 정보 시스템이 가지고 있는 취약점과 해당 취약점이 실행 가능한 애플리케이션의 정보와 접근 가능성 등을 활용하여 공격 그래프를 생성하여 공격 대상을 예측한다. The attack target prediction apparatus 100 according to the present embodiment generates an attack graph by using the vulnerability of an information system including a plurality of assets connected by a network and the information and accessibility of applications in which the vulnerability can be executed. predict the target.

공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 연관관계를 설정하고, 설정된 연관관계에 기초하여 공격 그래프를 생성함으로써, 공격 대상의 예측 정확도를 향상시킬 수 있다. 아울러, 공격 대상 예측 장치(100)는 연관관계에 기초하여 자산 관계 그래프를 생성한 후 생성된 자산 관계 그래프를 이용하여 공격 그래프를 생성함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도를 더욱 향상시킬 수 있다. 여기서, 공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 표현 및 저장하기 위하여 노트, 에지, 속성 등을 이용해 시맨틱 질의를 처리할 수 있는 그래프 구조의 데이터베이스(이하, 그래프 DB로 기재)를 사용할 수 있다. The attack target prediction apparatus 100 may improve the prediction accuracy of the attack target by establishing a correlation relationship between the vulnerability information, the network information, and the application information, and generating an attack graph based on the set correlation relationship. In addition, the attack target prediction device 100 can further improve the prediction accuracy of the attack target using the attack graph by generating the attack graph using the generated asset relationship graph after generating the asset relationship graph based on the correlation relationship. have. Here, the attack target prediction device 100 is a database (hereinafter, referred to as a graph DB) of a graph structure that can process semantic queries using notes, edges, attributes, etc. in order to express and store vulnerability information, network information, and application information. ) can be used.

공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 활용한 자산 관계 그래프를 그래프 DB에 사전에 학습해두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 자산 관계 그래프를 기반으로 경로를 탐색하여 공격 그래프를 생성할 수 있다. 또한, 공격 대상 예측 장치(100)는 자산의 애플리케이션 정보를 활용하여 실제 취약점을 이용하여 공격 가능한지에 대한 침투 경로의 예측 정확도를 향상시킬 수 있다. The attack target prediction device 100 learns the asset relationship graph using the vulnerability information, network information, and application information in advance in the graph DB, and at the point in time when the conditions for the attack target prediction are given, a path based on the asset relationship graph You can create an attack graph by exploring In addition, the attack target prediction apparatus 100 may improve the prediction accuracy of the penetration path for whether an attack is possible using an actual vulnerability by utilizing the application information of the asset.

정보 추출부(110)는 공격 그래프를 생성하기 위한 자산정보를 추출하는 동작을 수행한다. 여기서, 정보 추출부(110)는 취약점 정보 추출부(112), 네트워크 추출부(114) 및 애플리케이션 정보 추출부(116)를 포함할 수 있다. The information extraction unit 110 performs an operation of extracting asset information for generating an attack graph. Here, the information extraction unit 110 may include a vulnerability information extraction unit 112 , a network extraction unit 114 , and an application information extraction unit 116 .

취약점 정보 추출부(112)는 자산의 공개 취약점 정보와 취약점 점검 결과 정보 등을 포함하는 취약점 정보를 추출한다. The vulnerability information extraction unit 112 extracts vulnerability information including public vulnerability information and vulnerability check result information of the asset.

네트워크 추출부(114)는 자산의 네트워크 토폴로지, 접근 제어목록 정보 등을 포함하는 네트워크 정보를 추출한다. 여기서, 접근 제어목록 정보는 ACL(Access Control List) 설정정보일 수 있으며, 자산 접근과 관련된 권한 또는 정책에 대한 정보를 포함할 수 있다. The network extraction unit 114 extracts network information including the network topology of the asset, access control list information, and the like. Here, the access control list information may be ACL (Access Control List) setting information, and may include information on rights or policies related to asset access.

애플리케이션 정보 추출부(116)는 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보, 인증정보 등을 포함하는 애플리케이션 정보를 추출한다. 여기서, 응용 서비스 정보는 응용 서비스의 명칭과 버전 등을 포함할 수 있다. The application information extraction unit 116 extracts application information including executable application service information, owner account information, and authentication information from the asset. Here, the application service information may include the name and version of the application service.

한편, [표 1]에 기재된 바와 같이, 정보 추출부(110)는 공격 그래프를 구성하기 위한 다양한 자산 정보를 추출할 수 있다. 정보 추출부(110)는 자산 정보를 추출하기 위하여 다양한 데이터베이스를 활용할 수 있다. 예를 들면, NIST(National Institute of Standards and Technology)에서 제공하는 NVD(National Vulnerability Database), 오픈소스 진영에서 제공하는 OSVDB(Open Source Vulnerability Database), MITRE에서 제공하는 CVE(Common Vulnerabilities and Exposures), Symantec 등에서 제공하는 Symantec DeepSight 등이 활용 가능하다.On the other hand, as described in [Table 1], the information extraction unit 110 may extract various asset information to configure the attack graph. The information extraction unit 110 may utilize various databases to extract asset information. For example, National Vulnerability Database (NVD) provided by the National Institute of Standards and Technology (NIST), Open Source Vulnerability Database (OSVDB) provided by the open source camp, Common Vulnerabilities and Exposures (CVE) provided by MITER, Symantec Symantec DeepSight provided by others can be used.

Figure 112019128729913-pat00001
Figure 112019128729913-pat00001

데이터 관계 설정부(120)는 자산에서 추출한 자산 정보를 저장하고, 자산 정보에 대한 연관관계를 설정하여 자산 관계 그래프를 생성한다. 데이터 관계 설정부(120)는 자산 관계 그래프 생성부(122) 및 자산 관계 그래프 갱신부(124)를 포함한다.The data relationship setting unit 120 stores the asset information extracted from the asset, and sets a correlation for the asset information to generate an asset relationship graph. The data relation setting unit 120 includes an asset relation graph generating unit 122 and an asset relation graph updating unit 124 .

자산 관계 그래프 생성부(122)는 네트워크 정보에 포함된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 도달 가능성(reachability)을 판단하고, 도달 가능성을 기반으로 도달 가능성 그룹을 구성하여 자산 정보에 대한 연관관계를 설정한다. The asset relationship graph generation unit 122 determines reachability by inquiring the network topology and access control list information included in the network information, and configures a reachability group based on the reachability to form a correlation relationship with the asset information. to set

구체적으로, 자산 관계 그래프 생성부(122)는 소정의 자산에 대한 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출한다. 자산 관계 그래프 생성부(122)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프를 생성할 수 있다. Specifically, the asset relationship graph generating unit 122 calculates a reachability matrix for reachability with other assets except for the predetermined asset by inquiring the network topology and access control list information for the predetermined asset. The asset relationship graph generating unit 122 may configure the assets having the same reachability in the reachability matrix into reachability groups, and may generate the asset relationship graph by using the relationship to the reachability group.

또한, 자산 관계 그래프 생성부(122)는 자산의 취약점 정보 및 애플리케이션 정보를 기반으로 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 자산 관계 그래프를 생성한다. In addition, the asset relationship graph generating unit 122 creates an asset relationship graph by setting a correlation relationship between the service information and the vulnerability of the asset based on the vulnerability information and the application information of the asset.

자산 관계 그래프 생성부(122)는 애플리케이션 정보에 포함된 소유자 계정정보 및 인증정보를 기반으로 자산의 접근 가능 여부를 판단하고, 접근 가능 여부에 따라 자산 정보에 대한 연관관계를 설정할 수 있다. The asset relationship graph generation unit 122 may determine whether an asset is accessible based on the owner account information and authentication information included in the application information, and may set a correlation for the asset information according to whether the asset is accessible.

한편, 자산 관계 그래프 생성부(122)는 자산의 취약 원인이 되는 서비스 거부, 정보 획득, 원격 명령 실행, 권한 상승 등의 조건 중 적어도 하나의 상태 변화 조건에 따라 자산 정보에 대한 연관관계를 설정할 수 있다. On the other hand, the asset relationship graph generating unit 122 may set the correlation for the asset information according to the state change condition of at least one of conditions such as denial of service, information acquisition, remote command execution, and privilege elevation, which are causes of weakness of the asset. have.

자산 관계 그래프 갱신부(124)는 복수의 자산 중 적어도 하나의 자산의 정보가 변경된 경우, 변경된 자산 정보를 기반으로 자산 관계 그래프를 갱신한다. 그리고, 자산 관계 그래프 갱신부(124)는 자산 정보가 변경될 때마다 해당 자산의 변경된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 자산 관계 그래프를 갱신할 수 있다. 아울러, 자산 관계 그래프 갱신부(124)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 라우팅 정보, 방화벽 정책 등을 조회하고, 변경된 자산에 대하여 네트워크 토폴로지, 라우팅 정보, 방화벽 정책 등을 고려하여 소정의 자산을 제외한 나머지 자산들과 통신 가능한지 여부를 계산하여 도달 가능성 행렬을 산출할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 재구성할 수 있으며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프를 갱신할 수 있다. 또한, 자산 관계 그래프 갱신부(124)는 자산 정보가 변경될 때마다 해당 자산의 취약점 정보 및 사용 중인 서비스 정보를 수집하여 자산 관계 그래프를 갱신할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 어플리케이션 정보, 취약점 점검 결과 등을 조회하고, 자산과 자산별 보유 취약점을 해당 취약점이 초래할 수 있는 상태변화, 즉 서비스거부, 정보획득, 원격명령 실행, 권한상승 등을 기준으로 그룹화할 수 있다. 또한, 자산 관계 그래프 갱신부(124)는 자산별 보유 어플리케이션 서비스를 인증정보(예: credential)을 통해 자산의 주요 쉘(Shell)에 접근 가능 여부 기준으로 그룹화할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 자산과 해당 자산이 보유한 취약점(취약점의 인스턴스(Instance)) 간의 연관관계를 재설정하여 자산 관계 그래프를 갱신할 수 있다.When information on at least one asset among a plurality of assets is changed, the asset relationship graph update unit 124 updates the asset relationship graph based on the changed asset information. In addition, the asset relationship graph update unit 124 may update the asset relationship graph by inquiring the changed network topology and access control list information of the corresponding asset whenever asset information is changed. In addition, the asset relationship graph update unit 124 inquires the added or changed asset information, routing information, firewall policy, etc. added or changed for a predetermined asset, and considers the network topology, routing information, firewall policy, etc. with respect to the changed asset A reachability matrix may be calculated by calculating whether it is possible to communicate with the remaining assets except for a predetermined asset. In addition, the asset relationship graph updating unit 124 may reconfigure assets having the same reachability into reachability groups in the reachability matrix, and may update the asset relationship graph using the relationship to the reachability group. Also, the asset relationship graph update unit 124 may update the asset relationship graph by collecting vulnerability information of the corresponding asset and service information being used whenever asset information is changed. In addition, the asset relationship graph update unit 124 inquires the added or changed asset information, application information, vulnerability check result, etc. added or changed for a predetermined asset, and a state change in which the asset and the vulnerability possessed by each asset may be caused by the corresponding vulnerability. In other words, it can be grouped based on denial of service, information acquisition, remote command execution, privilege elevation, etc. In addition, the asset relationship graph updater 124 may group the application services owned by each asset based on whether access to the main shell of the asset is possible through authentication information (eg, credential). In addition, the asset relationship graph update unit 124 may update the asset relationship graph by resetting the correlation between the asset and the vulnerability (instance of the vulnerability) possessed by the asset.

공격 그래프 생성부(130)는 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단하고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성한다. 구체적으로, 공격 그래프 생성부(130)는 도달 가능성 및 취약점을 기반으로 공격 후보 대상을 식별할 수 있고, 공격 후보 대상의 접근 가능 여부를 기반으로 자산 관계 그래프를 탐색하여 공격 그래프를 생성할 수 있다.The attack graph generating unit 130 determines reachability and vulnerability based on the asset relationship graph, and generates an attack graph using the reachability and vulnerability. Specifically, the attack graph generating unit 130 may identify an attack candidate target based on reachability and vulnerability, and may generate an attack graph by searching the asset relationship graph based on whether the attack candidate target is accessible. .

공격 그래프 생성부(130)는 하나의 공격 후보 대상을 선정하고, 공격 후보 대상을 기준으로 공격 그래프 생성 조건에 따라 자산 관계 그래프를 탐색하여 공격 그래프를 생성한다. 여기서, 공격 그래프 생성 조건은 외부 장치 또는 사용자로부터 입력된 정보일 수 있으며, 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 포함할 수 있다. The attack graph generating unit 130 generates an attack graph by selecting one attack candidate target and searching the asset relationship graph according to the attack graph generation condition based on the attack candidate target. Here, the attack graph generation condition may be information input from an external device or a user, and may include actual cyber attack situation information or defense policy application situation information.

공격 대상 분석부(140)는 생성된 공격 그래프를 기반으로 공격 경로를 탐색하고, 공격 경로를 기반으로 공격 대상을 예측하는 동작을 수행한다. 본 실시예에 따른 공격 대상 분석부(140)는 공격 그래프 탐색부(142), 공격 경로 예측부(144) 및 공격 대상 위험도 분석부(146)를 포함할 수 있다.The attack target analysis unit 140 searches an attack path based on the generated attack graph and performs an operation of predicting an attack target based on the attack path. The attack target analysis unit 140 according to the present embodiment may include an attack graph search unit 142 , an attack path prediction unit 144 , and an attack target risk analysis unit 146 .

공격 그래프 탐색부(142)는 생성된 공격 그래프를 기반으로 적어도 하나의 공격 경로를 탐색한다.The attack graph search unit 142 searches for at least one attack path based on the generated attack graph.

공격 경로 예측부(144)는 공격 그래프 탐색부(142)에서 탐색된 적어도 하나의 공격 경로 중 최종 공격 경로를 결정하고, 최종 공격 경로에서 공격 대상을 예측한다. 그리고, 공격 경로 예측부(144)는 복수의 공격 경로가 탐지된 경우, 경로 별 도달 가능성, 취약점 상태, 방화벽 정책 수준 등을 고려하여 최종 공격 경로를 결정할 수 있다. 아울러, 공격 경로 예측부(144)는 최종 공격 경로에서 공격 그래프의 취약점과 실행 중인 애플리케이션을 기준으로 공격 대상을 예측할 수 있다. 또한, 공격 경로 예측부(144)는 공격 경로에 대해 알려진 취약점 및 속성정보뿐만 아니라 취약점 점검 솔루션을 추가로 수행하고, 취약점 점검 솔루션에 의한 실제 취약점 점검결과를 사용하여 공격 대상의 예측 정확도를 향상시킬 수 있다. 또한, 공격 경로 예측부(144)는 공격 경로에 포함된 자산의 애플리케이션 정보를 추출하여 해당 취약점이 실행하기 위한 애플리케이션과 시스템 권한 획득 가능 여부 등을 추가로 확인하여 공격 대상을 예측할 수 있으며, 이를 통해 공격 발생 위협의 영향 받을 자산 특징을 예측할 수 있다. 그리고, 공격 경로 예측부(144)는 예측된 공격 대상에 대한 정보를 외부 장치 또는 사용자에게 제공할 수 있다. 여기서, 공격 경로 예측부(144)는 공격 대상에 대한 취약점 및 취약점에서 실행 중인 애플리케이션 정보를 함께 포함하여 제공할 수 있다.The attack path prediction unit 144 determines a final attack path among at least one attack path searched by the attack graph search unit 142 and predicts an attack target in the final attack path. In addition, when a plurality of attack paths are detected, the attack path prediction unit 144 may determine the final attack path in consideration of reachability for each path, a vulnerability state, a firewall policy level, and the like. In addition, the attack path prediction unit 144 may predict an attack target in the final attack path based on the vulnerability of the attack graph and the running application. In addition, the attack path prediction unit 144 additionally performs a vulnerability check solution as well as known vulnerabilities and attribute information on the attack path, and uses the actual vulnerability check result by the vulnerability check solution to improve the prediction accuracy of the attack target. can In addition, the attack path prediction unit 144 can predict the attack target by extracting application information of the asset included in the attack path and additionally checking whether it is possible to obtain the application and system authority for executing the vulnerability. It is possible to predict the asset characteristics that will be affected by the threat of an attack. In addition, the attack path prediction unit 144 may provide information on the predicted attack target to an external device or a user. Here, the attack path prediction unit 144 may provide information about a vulnerability to an attack target and an application running in the vulnerability together.

공격 대상 위험도 분석부(146)는 예측된 공격 대상의 자산 위험도를 산출할 수 있다. 그리고, 공격 대상 위험도 분석부(146)는 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 공격 대상의 자산 위험도를 평가할 수 있다. 공격 대상 위험도 분석부(146)는 [수학식 1]을 이용하여 자산 위험도를 산출할 수 있다.The attack target risk analysis unit 146 may calculate the predicted asset risk level of the attack target. In addition, the attack target risk analysis unit 146 may evaluate the attack target's asset risk by using the attack graph-based AssetRank algorithm. The attack target risk analysis unit 146 may calculate the asset risk using [Equation 1].

Figure 112019128729913-pat00002
Figure 112019128729913-pat00002

(X: 위험도, D: 인접행렬, ΓPeT: 개발 가능성, X0: 초기값)(X: risk, D: adjacency matrix, ΓPe T : potential for development, X 0 : initial value)

도 2는 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating an attack target prediction method based on an attack graph according to an embodiment of the present invention.

공격 대상 예측 장치(100)는 자산의 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출한다(S210).The attack target prediction apparatus 100 extracts asset information including asset vulnerability information, network information, and application information ( S210 ).

공격 대상 예측 장치(100)는 추출된 자산 정보 간 연관 관계를 설정하여 자산 관계 그래프를 저장한다(S220).The attack target prediction device 100 sets the correlation between the extracted asset information and stores the asset relationship graph ( S220 ).

공격 대상 예측 장치(100)는 네트워크 정보에 포함된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 도달 가능성을 판단하고, 도달 가능성을 기반으로 도달 가능성 그룹을 구성하여 자산 정보에 대한 연관관계를 설정하며, 자산의 취약점 정보 및 애플리케이션 정보를 기반으로 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 자산 관계 그래프를 생성한다.The attack target prediction device 100 determines the reachability by inquiring the network topology and access control list information included in the network information, configures a reachability group based on the reachability, and establishes a correlation for the asset information, Based on the asset's vulnerability information and application information, the relationship between the asset's service information and the vulnerability is established to create an asset relationship graph.

공격 대상 예측 장치(100)는 자산 관계 그래프의 연관관계를 기반으로 도달 가능성 및 취약점 산출하여 공격 그래프를 생성한다(S230, S240). 예를 들어, 공격 대상 예측 장치(100)는 도달 가능성 및 취약점을 기반으로 공격 후보 대상을 식별하고, 공격 후보 대상의 접근 가능 여부를 기반으로 자산 관계 그래프를 탐색하여 공격 그래프를 생성할 수 있다.The attack target prediction apparatus 100 generates an attack graph by calculating reachability and vulnerability based on the correlation of the asset relationship graph (S230, S240). For example, the attack target prediction apparatus 100 may generate an attack graph by identifying an attack candidate target based on reachability and vulnerability, and searching an asset relationship graph based on whether the attack candidate target is accessible.

공격 대상 예측 장치(100)는 외부장치 또는 사용자로부터 공격 대상 분석 요청이 있을 경우(S250), 공격 그래프에서 적어도 하나의 공격 경로를 탐색한다(S260).When there is an attack target analysis request from an external device or a user (S250), the attack target prediction apparatus 100 searches for at least one attack path in the attack graph (S260).

공격 대상 예측 장치(100)는 적어도 하나의 공격 경로 상에서 공격 대상을 예측한다(S270). 예를 들어, 공격 대상 예측 장치(100)는 복수의 공격 경로가 탐지된 경우, 경로 별 도달 가능성, 취약점 상태, 방화벽 정책 수준 등을 고려하여 최종 공격 경로를 결정할 수 있다. The attack target prediction apparatus 100 predicts an attack target on at least one attack path ( S270 ). For example, when a plurality of attack paths are detected, the attack target prediction apparatus 100 may determine the final attack path in consideration of reachability for each path, vulnerability status, firewall policy level, and the like.

도 2에서는 각 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 2에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 2는 시계열적인 순서로 한정되는 것은 아니다.Although it is described that each step is sequentially executed in FIG. 2 , the present invention is not limited thereto. In other words, since it may be applicable to changing and executing the steps described in FIG. 2 or executing one or more steps in parallel, FIG. 2 is not limited to a time-series order.

도 2에 기재된 본 실시예에 따른 공격 대상 예측 방법은 애플리케이션(또는 프로그램)으로 구현되고 단말장치(또는 컴퓨터)로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 공격 대상 예측 방법을 구현하기 위한 애플리케이션(또는 프로그램)이 기록되고 단말장치(또는 컴퓨터)가 읽을 수 있는 기록매체는 컴퓨팅 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치 또는 매체를 포함한다.The attack target prediction method according to the present embodiment described in FIG. 2 may be implemented as an application (or program) and recorded in a recording medium readable by a terminal device (or computer). The recording medium in which the application (or program) for implementing the attack target prediction method according to the present embodiment is recorded and the terminal device (or computer) can read is any type of recording device in which data that can be read by the computing system is stored. or media.

도 3은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 대상 예측 및 공격 대상의 위험도를 분석하는 동작을 설명하기 위한 순서도이다.3 is a flowchart illustrating an operation of predicting an attack target and analyzing the risk of an attack target in the attack target prediction apparatus according to an embodiment of the present invention.

복수의 자산 중 공격 대상을 예측하기 위하여 알고리즘이 실행되면, 공격 대상 예측 장치(100)는 분석기반의 종류를 확인한다(S310).When an algorithm is executed to predict an attack target among a plurality of assets, the attack target prediction apparatus 100 checks the type of analysis basis (S310).

단계 S310의 확인 결과, 공격 대상 예측 장치(100)는 공격 그래프 기반으로 공격 대상을 예측하는 경우, 조건 입력 화면을 통해 공격 그래프 생성 조건을 입력 받는다(S320). 여기서, 공격 그래프 생성 조건은 외부 장치 또는 사용자로부터 입력된 정보일 수 있으며, 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 포함할 수 있다.As a result of checking in step S310, when predicting an attack target based on the attack graph, the attack target prediction apparatus 100 receives an attack graph generation condition through a condition input screen (S320). Here, the attack graph generation condition may be information input from an external device or a user, and may include actual cyber attack situation information or defense policy application situation information.

공격 대상 예측 장치(100)는 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 고려하여(S330, S340) 공격 그래프를 생성한다(S350). 여기서, 공격 그래프는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 활용하여 학습된 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단할 수 있고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성할 수 있다.The attack target prediction apparatus 100 generates an attack graph in consideration of actual cyber attack situation information or defense policy application situation information (S330, S340) (S350). Here, the attack graph may determine reachability and vulnerability based on the learned asset relationship graph using vulnerability information, network information, and application information, and may generate an attack graph using the reachability and vulnerability.

한편, 단계 S310의 확인 결과, 공격 대상 예측 장치(100)는 자산 특징 기반으로 공격 대상을 예측하는 경우, 외부 장치 또는 사용자로부터 자산 특징을 입력 받고(S312), 공격에 취약한 자산을 식별하고, 공격에 취약한 특징과 동일한 특징을 가지는 동일 특징 자산을 식별하여 공격 대상을 예측한다(S314).On the other hand, as a result of checking in step S310, when the attack target prediction device 100 predicts an attack target based on the asset characteristic, it receives an asset characteristic from an external device or user (S312), identifies an asset vulnerable to an attack, and attacks An attack target is predicted by identifying the same characteristic asset having the same characteristic as the vulnerable characteristic (S314).

공격 대상 예측 장치(100)는 공격 그래프 또는 자산 특징을 기반으로 예측된 공격 대상에 대한 자산 위험도 평가를 수행하고(S360), 수행에 대한 평가 결과를 저장 및 관리한다(S370).The attack target prediction device 100 performs an asset risk assessment for an attack target predicted based on an attack graph or asset characteristics (S360), and stores and manages the evaluation result for the performance (S370).

도 3에서는 각 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 3에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 3은 시계열적인 순서로 한정되는 것은 아니다.Although it is described that each step is sequentially executed in FIG. 3 , it is not necessarily limited thereto. In other words, since it may be applicable to changing and executing the steps described in FIG. 3 or executing one or more steps in parallel, FIG. 3 is not limited to a time-series order.

도 4는 본 발명의 실시예에 따른 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다. 4 is a diagram for explaining an operation of processing an asset relationship graph based on network information according to an embodiment of the present invention.

도 4의 (a)에 나타낸 샘플 네트워크(Sample Network)를 참조하면, 공격 대상 예측 장치(100)는 자산 정보가 변경될 때마다 해당 자산의 변경된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 자산 관계 그래프를 갱신한다. Referring to the sample network shown in (a) of FIG. 4 , the attack target prediction device 100 inquires the changed network topology and access control list information of the corresponding asset whenever asset information is changed, and the asset relationship graph update

도 4의 (b)를 참조하면, 공격 대상 예측 장치(100)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 라우팅 정보, 방화벽 정책 등을 조회하고, 변경된 자산에 대하여 네트워크 토폴로지, 라우팅 정보, 방화벽 정책 등을 고려하여 소정의 자산을 제외한 나머지 자산들과 통신 가능한지 여부를 계산하여 도달 가능성 행렬(Reachability Matrix)을 산출한다.Referring to FIG. 4 (b), the attack target prediction device 100 inquires additionally changed asset information, routing information, firewall policy, etc. added or changed for a predetermined asset, and network topology and routing information for the changed asset. , and a firewall policy, and the like, calculate whether it is possible to communicate with the remaining assets except for a predetermined asset to calculate a reachability matrix.

도 4의 (c) 및 (d)를 참조하면, 공격 대상 예측 장치(100)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹(reachability group)으로 재구성하며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프(Asset Relation Graph)를 갱신한다.Referring to (c) and (d) of Figure 4, the attack target prediction apparatus 100 reconfigures the assets having the same reachability in the reachability matrix into a reachability group, and the relationship to the reachability group to update the Asset Relation Graph.

도 5는 본 발명의 실시예에 따른 취약점 정보 및 애플리케이션 정보를 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다. 5 is a diagram for explaining an operation of processing an asset relationship graph based on network information for vulnerability information and application information according to an embodiment of the present invention.

공격 대상 예측 장치(100)는 자산 별 보유 취약점을 해당 자산 장악 가능 여부를 기준으로 분류할 수 있다. The attack target prediction apparatus 100 may classify the vulnerabilities possessed by each asset based on whether the asset can be seized.

도 5의 제1 분류 그룹(510)을 참고하면, A 자산에 서비스거부, 정보획득과 관련된 취약점이 존재하는 경우, A 자산은 접근 권한 획득을 못하고, 다음 자산으로 진행될 수 없다. 또한, A 자산에 원격명령 실행과 관련된 취약점이 존재하는 경우, A 자산은 접근 권한을 획득하고, 다음 자산으로 진행될 수 있다. 또한, A 자산에 권한 상승과 관련된 취약점이 존재하는 경우, 다음 자산 진행할 수 없으나 A 자산에 대한 권한은 상승될 수 있다. Referring to the first classification group 510 of FIG. 5 , when a vulnerability related to denial of service and information acquisition exists in asset A, asset A cannot acquire access rights and cannot proceed to the next asset. In addition, if there is a vulnerability related to remote command execution in asset A, asset A gains access and can proceed to the next asset. In addition, if there is a vulnerability related to the elevation of privilege in asset A, the next asset cannot proceed, but the privilege to asset A may be elevated.

공격 대상 예측 장치(100)는 자산 별 보유 애플리케이션을 해당 자산에 로그인 가능 여부를 기준으로 분류할 수 있다. The attack target prediction device 100 may classify applications owned by each asset based on whether logging into the corresponding asset is possible.

도 5의 제2 분류 그룹(520)을 참고하면, D 자산은 보유 애플리케이션의 접근 권한 정보에 따라 다음 자산 이동 진행 여부가 결정될 수 있다. 여기서, D 자산은 애플리케이션의 소유 계정을 고려하여 접근 권한 정보를 확인할 수 있다. Referring to the second classification group 520 of FIG. 5 , for asset D, whether to proceed with the next asset movement may be determined according to the access right information of the holding application. Here, asset D can check access right information in consideration of the account owned by the application.

공격 대상 예측 장치(100)는 자산 정보가 변경될 때마다 해당 자산의 취약점 정보 및 사용 중인 서비스 정보를 수집하여 자산 관계 그래프를 갱신할 수 있다. The attack target prediction apparatus 100 may update the asset relationship graph by collecting vulnerability information of the corresponding asset and service information being used whenever asset information is changed.

그리고, 공격 대상 예측 장치(100)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 어플리케이션 정보, 취약점 점검 결과 등을 조회하고, 자산과 자산별 보유 취약점을 해당 취약점이 초래할 수 있는 상태변화 즉 서비스거부, 정보획득, 원격명령 실행, 권한상승 등을 기준으로 그룹화한다. 또한, 공격 대상 예측 장치(100)는 자산별 보유 어플리케이션 서비스를 인증정보(예: credential)을 통해 자산의 주요 쉘(Shell)에 접근 가능 여부 기준으로 그룹화할 수 있다. In addition, the attack target prediction device 100 inquires the additional or changed asset information, application information, vulnerability check result, etc. added or changed for a predetermined asset, and changes the state that the asset and the vulnerability possessed by the asset can cause the corresponding vulnerability, that is, They are grouped according to service denial, information acquisition, remote command execution, and privilege escalation. In addition, the attack target prediction apparatus 100 may group the application services possessed by each asset based on whether access to the main shell of the asset is possible through authentication information (eg, credential).

아울러, 공격 대상 예측 장치(100)는 자산과 해당 자산이 보유한 취약점(취약점의 인스턴스(Instance)) 간의 연관관계를 재설정하여 자산 관계 그래프를 갱신할 수 있다.In addition, the attack target prediction apparatus 100 may update the asset relationship graph by resetting the relationship between the asset and the vulnerability (an instance of the vulnerability) possessed by the asset.

도 6은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 그래프의 생성하고, 공격 대상 및 경로를 예측하는 동작을 설명하기 위한 도면이다.6 is a view for explaining an operation of generating an attack graph and predicting an attack target and a path in the attack target prediction apparatus according to an embodiment of the present invention.

도 6의 (a)는 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단하고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 탐색하는 동작을 나타낸 예시도이다. 또한, 도 6의 (b)는 공격 그래프의 탐색 결과를 기반으로 생성된 공격 그래프를 나타낸 예시도이다. 6A is an exemplary diagram illustrating an operation of determining reachability and vulnerability based on an asset relationship graph, and searching an attack graph using reachability and vulnerability. Also, FIG. 6B is an exemplary diagram illustrating an attack graph generated based on a search result of the attack graph.

도 6의 (a)에 도시된 바와 같이, 자산 관계 그래프 내에서 다음 도달 가능성 그룹으로 진행하기 위해서는 경유 노드가 Vul_root 또는 App_shell을 가지고 있어야 하는 것을 확인할 수 있다. As shown in (a) of FIG. 6 , it can be confirmed that the transit node must have Vul_root or App_shell in order to proceed to the next reachability group in the asset relationship graph.

도 6의 (b)에 도시된 바와 같이, 공격 대상 예측 장치(100)는 탐색 결과의 공격 그래프를 통해 제1 공격 경로(B→ C→ E) 및 제2 공격 경로(B→ D→ E)를 예측할 수 있다.As shown in (b) of FIG. 6 , the attack target prediction apparatus 100 uses the first attack path (B→C→E) and the second attack path (B→D→E) through the attack graph of the search result. can be predicted

공격 대상 예측 장치(100)는 분석 조건 및 결과 공격 그래프의 스냅샷을 저장할 수 있다. 공격 대상 예측 장치(100)는 저장된 스냅샷을 통해 향후 동일한 공격 그래프를 재현할 수 있도록 노드-에지-노드(node-edge-node)를 각각 분리하여 저장할 수 있다.The attack target prediction apparatus 100 may store a snapshot of the analysis condition and the result attack graph. The attack target prediction apparatus 100 may separate and store each node-edge-node so that the same attack graph can be reproduced in the future through the stored snapshot.

도 7은 본 발명의 실시예에 따른 공격 대상 예측 장치의 공격 대상 위험도의 분석 결과를 나타낸 도면이다. 7 is a diagram illustrating an analysis result of an attack target risk of an attack target prediction apparatus according to an embodiment of the present invention.

도 7을 참조하면, 공격 대상 예측 장치(100)는 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 공격 대상의 자산 위험도를 평가할 수 있다.Referring to FIG. 7 , the attack target prediction apparatus 100 may evaluate the attack target's asset risk by using the attack graph-based AssetRank algorithm.

도 7의 (a)는 자산 의존 그래프를 나타내고, 도 7의 (b)는 자산 의존 그래프에 대한 자산 랭크(AssetRank)를 나타낸다. 도 7의 (a) 및 (b)를 통해 공격 대상 예측 장치(100)는 공격 대상 자산의 위험도 및 예상 피해를 정량적으로 제시할 수 있고, 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 위험도를 평가할 수 있다. Figure 7 (a) shows an asset dependence graph, Figure 7 (b) shows an asset rank (AssetRank) for the asset dependence graph. Through (a) and (b) of FIG. 7 , the attack target prediction device 100 can quantitatively present the risk and expected damage of the attack target asset, and can evaluate the risk by using the attack graph-based AssetRank algorithm. .

도 8은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법과 종래의 공격 대상 예측 방법을 비교하여 설명하기 위한 도면이다.8 is a diagram for explaining a comparison between an attack target prediction method based on an attack graph according to an embodiment of the present invention and a conventional attack target prediction method.

도 8의 (a)는 종래의 공격 그래프 생성 방식의 데이터베이스 구조(관계형 DB)를 나타내고, 도 8의 (b)는 본 실시예에 따른 공격 그래프 생성 방식의 데이터베이스 구조(그래프 DB)를 나타낸다. Fig. 8(a) shows the database structure (relational DB) of the conventional attack graph generating method, and Fig. 8(b) shows the database structure (graph DB) of the attack graph generating method according to the present embodiment.

종래의 공격 그래프 생성 방식의 데이터베이스 구조는 다음과 같은 특징을 가진다. The database structure of the conventional attack graph generation method has the following characteristics.

- 데이터 형태: 고정적이고, 사전 정의된 테이블- Data type: fixed, predefined table

- 쿼리 성능: JOIN이 적을 경우는 빠르고 안정적 / JOIN의 깊이(depth)가 증가함에 따라 데이터 처리 성능이 악화됨- Query performance: Fast and stable when there are few JOINs / Data processing performance deteriorates as the JOIN depth increases

- 데이터 표현: 테이블 형태의 표시만 가능 / 실생활을 시각적으로 표현하기 어려움- Data expression: only table type display / Difficult to express real life visually

본 실시예에 따른 공격 그래프 생성 방식은 다음과 같은 특징을 가진다. The attack graph generation method according to the present embodiment has the following characteristics.

- 데이터 형태: 연결된 데이터(자산들의 도달 가능성, 취약점 관계로 서로 연결되어 있는 데이터를 저장하는 데 있어 그래프 DB가 적합)- Data type: Connected data (Graph DB is suitable for storing data that are linked to each other due to the reachability and vulnerability of assets)

- 쿼리 성능: 관계의 깊이 수와 관계없이 제로(zero) 지연 및 실시간 성능을 보장(공격자 위치에서 침투 가능한 모든 자산을 발견하는 공격 그래프 특성상 탐색 깊이에 제한이 있어서는 안됨)- Query performance: guarantees zero latency and real-time performance regardless of the number of depths of relationships (there should not be a limit to the depth of search due to the nature of the attack graph to discover all infiltible assets from the attacker's location)

- 데이터 표현: 실생활에 대한 모델링 및 시각화에 적합(공격 그래프를 구성하는 자산간의 관계를 토폴로지에 가깝게 표현하는 데 있어 그래프 DB가 적합)- Data representation: suitable for modeling and visualization of real life (Graph DB is suitable for expressing relationships between assets constituting an attack graph close to topology)

전술한 내용을 기반으로 종래의 공격 그래프 생성 방식과 본 실시예에 따른 공격 그래프 생성 방식을 비교한 결과, 공격 그래프와 같이 노드 간의 관계가 복잡하고 그래프 탐색 깊이에 제한이 상대적으로 적은 그래프 DB에 저장하여 경로를 탐색하도록 구성하는 것이 공격 대상을 예측하는 데 효율적이다. 이러한 비교 내용은 [표 2]에 기재되어 있다. ([표 2]에서, RDBS: 종래의 공격 그래프 생성 방식, Neo4j: 본 실시예에 따른 공격 그래프 생성 방식)As a result of comparing the conventional attack graph generation method and the attack graph generation method according to the present embodiment based on the above-mentioned contents, like the attack graph, the relationship between nodes is complicated and the graph search depth is relatively small. It is efficient to predict the target of attack to configure it to search the path. These comparisons are shown in [Table 2]. (In [Table 2], RDBS: conventional attack graph generation method, Neo4j: attack graph generation method according to this embodiment)

Figure 112019128729913-pat00003
Figure 112019128729913-pat00003

지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 네트워크 정보 및 취약점 정보에 자산에서 실행 가능한 애플리케이션에 대한 정보를 추가로 고려함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 향상된다.As described so far, according to an embodiment of the present invention, by additionally considering information on applications executable in an asset to network information and vulnerability information, prediction accuracy of an attack target using an attack graph is improved.

또한, 취약점, 네트워크 및 애플리케이션 정보에 대하여 대규모의 상황정보를 수집 및 표현하기 위한 그래프 DB를 활용함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 더욱 향상된다.In addition, by utilizing a graph DB for collecting and expressing large-scale context information for vulnerability, network and application information, the accuracy of predicting an attack target using the attack graph is further improved.

또한, 공격 경로에서 취약점, 네트워크 설정정보 및 애플리케이션 정보를 통해 자산의 취약점 및 접근 권한 등을 고려하여 공격 대상을 예측함으로써, 공격경로 상의 네트워크 자산의 피해를 예방할 수 있다.In addition, damage to network assets on the attack path can be prevented by predicting an attack target in consideration of weaknesses and access rights of assets through vulnerabilities, network configuration information, and application information in the attack path.

본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each block in the block diagram attached to the present invention and each step in the flowchart may be performed by computer program instructions. These computer program instructions may be embodied in a processor of a general-purpose computer, special-purpose computer, or other programmable data processing equipment, such that the instructions executed by the processor of the computer or other programmable data processing equipment may be configured in the respective blocks in the block diagram or in the flowchart. Each step creates a means for performing the described functions. These computer program instructions may also be stored in a computer-usable or computer-readable medium that may direct a computer or other programmable data processing equipment to implement a function in a particular manner, and thus the computer-usable or computer-readable medium. The instructions stored in the recording medium can also produce an item of manufacture including instruction means for performing functions described in each block in the block diagram or in each step in the flowchart. The computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operational steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to create a computer or other programmable data processing equipment. It is also possible that instructions for performing the processing equipment provide steps for carrying out the functions described in each block of the block diagram and each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Further, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function(s). It should also be noted that in some alternative embodiments it is also possible for the functions recited in blocks or steps to occur out of order. For example, it is possible that two blocks or steps shown one after another may in fact be performed substantially simultaneously, or that the blocks or steps may sometimes be performed in the reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical spirit of the present invention, and various modifications and variations will be possible without departing from the essential characteristics of the present invention by those skilled in the art to which the present invention pertains. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

100: 공격 대상 예측 장치
110: 정보 추출부 120: 데이터 관계 설정부
130: 공격 그래프 생성부 140: 공격 대상 분석부100: attack target prediction device
110: information extraction unit 120: data relationship setting unit
130: attack graph generation unit 140: attack target analysis unit

Claims (14)

취약점 정보(자산의 공개 취약점 정보와 취약점 점검 결과 정보를 포함), 네트워크 정보(상기 자산의 네트워크 토폴로지와 접근 제어목록 정보를 포함) 및 애플리케이션 정보(상기 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보 및 인증정보를 포함)를 포함하는 자산 정보를 추출하는 정보 추출부;
상기 자산 정보에 대한 연관관계를 설정하고, 상기 연관관계에 기초하여 자산 관계 그래프를 생성하는 데이터 관계 설정부;
상기 자산 관계 그래프를 기반으로 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 판단한 후 판단된 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 공격 그래프를 생성하는 공격 그래프 생성부; 및
상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함하고,
상기 공격 그래프 생성부는, 상기 자산 관계 그래프를 사전에 학습해 두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 상기 자산 관계 그래프를 기반으로 경로를 탐색하여 상기 공격 그래프를 생성하되,
상기 데이터 관계 설정부는,
소정의 자산에 대한 상기 네트워크 토폴로지 및 상기 접근 제어목록 정보를 조회하여 상기 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출하고, 상기 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하여 상기 자산 정보에 대한 연관관계를 설정하며, 상기 도달 가능성 그룹에 대한 관계를 이용하여 상기 자산 관계 그래프를 생성하는 자산 관계 그래프 생성부와,
상기 자산 중 적어도 하나의 정보가 변경된 경우 변경된 자산 정보를 기반으로 상기 자산 관계 그래프를 갱신하고, 자산별 보유 어플리케이션 서비스를 상기 인증정보를 통해 상기 자산의 특정 쉘(Shell)에 접근 가능 여부 기준으로 그룹화하고, 상기 자산과 해당 자산이 보유한 취약점 간의 연관관계를 재설정하여 상기 자산 관계 그래프를 갱신하는 자산 관계 그래프 갱신부를 포함하는
공격 대상 예측 장치.Vulnerability information (including asset public vulnerability information and vulnerability check result information), network information (including network topology and access control list information of the asset), and application information (including application service information executable on the asset, owner account information and an information extraction unit for extracting asset information including authentication information;
a data relationship setting unit for setting a relationship with respect to the asset information and generating an asset relationship graph based on the relationship;
After determining the reachability and vulnerability determined based on the asset information and the relationship based on the asset relationship graph, an attack candidate target is identified based on the determined reachability and the vulnerability, and the attack candidate target can be accessed an attack graph generating unit that searches the asset relationship graph based on whether or not and generates an attack graph; and
An attack target analysis unit for predicting an attack target based on the attack path searched based on the attack graph,
The attack graph generating unit generates the attack graph by learning the asset relationship graph in advance, and searching a path based on the asset relationship graph immediately at a time point given a condition for attack target prediction,
The data relationship setting unit,
An asset having the same reachability in the reachability matrix is calculated by inquiring the network topology and the access control list information for a given asset to calculate a reachability matrix for reachability with the remaining assets except for the prescribed asset an asset relationship graph generating unit that configures the groups into reachability groups to establish a relationship with respect to the asset information, and generates the asset relationship graph using the relationship for the reachability group;
When the information of at least one of the assets is changed, the asset relationship graph is updated based on the changed asset information, and application services owned by each asset are grouped based on whether a specific shell of the asset can be accessed through the authentication information. and an asset relationship graph update unit configured to update the asset relationship graph by resetting the relationship between the asset and the vulnerability possessed by the asset.
Attack target prediction device. 삭제delete 삭제delete 삭제delete 삭제delete 제 1 항에 있어서,
상기 데이터 관계 설정부는, 상기 자산의 상기 취약점 정보 및 상기 애플리케이션 정보를 기반으로 상기 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 상기 자산 관계 그래프를 생성하는
공격 대상 예측 장치.The method of claim 1,
The data relationship setting unit generates the asset relationship graph by setting a correlation between the service information and the vulnerability of the asset based on the vulnerability information and the application information of the asset.
Attack target prediction device. 제 6 항에 있어서,
상기 데이터 관계 설정부는, 상기 자산의 취약 원인이 되는 서비스 거부, 정보 획득, 원격 명령 실행 및 권한 상승 중 적어도 하나의 상태 변화 조건에 따라 상기 자산 정보에 대한 연관관계를 설정하는
공격 대상 예측 장치.7. The method of claim 6,
The data relationship setting unit is configured to establish a relationship for the asset information according to a state change condition of at least one of denial of service, information acquisition, remote command execution, and privilege elevation, which are causes of weakness of the asset
Attack target prediction device. 제 6 항에 있어서,
상기 데이터 관계 설정부는, 상기 애플리케이션 정보에 포함된 소유자 계정정보 및 인증정보를 기반으로 자산의 접근 가능 여부를 판단하고, 상기 접근 가능 여부에 따라 상기 자산 정보에 대한 연관관계를 설정하는
공격 대상 예측 장치.7. The method of claim 6,
The data relationship setting unit determines whether an asset is accessible based on the owner account information and authentication information included in the application information, and sets a correlation for the asset information according to the accessibility
Attack target prediction device. 제 1 항에 있어서,
상기 공격 그래프 생성부는, 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 상기 공격 그래프를 생성하는
공격 대상 예측 장치.The method of claim 1,
The attack graph generating unit identifies an attack candidate target based on the reachability and the vulnerability, and generates the attack graph by searching the asset relationship graph based on whether the attack candidate target is accessible
Attack target prediction device. 제 9 항에 있어서,
상기 공격 대상 분석부는, 상기 공격 그래프의 취약점과 실행 중인 애플리케이션을 기준으로 상기 공격 경로를 탐색하여 상기 공격 대상을 예측하고, 상기 공격 대상에 대한 취약점 및 상기 취약점에서 실행 중인 애플리케이션 정보를 제공하는
공격 대상 예측 장치.10. The method of claim 9,
The attack target analysis unit predicts the attack target by searching the attack path based on the vulnerability of the attack graph and the running application, and provides information about the vulnerability to the attack target and the application running in the vulnerability.
Attack target prediction device. 공격 대상 예측 장치의 공격 대상 예측 방법으로서,
취약점 정보(자산의 공개 취약점 정보와 취약점 점검 결과 정보를 포함), 네트워크 정보(상기 자산의 네트워크 토폴로지와 접근 제어목록 정보를 포함) 및 애플리케이션 정보(상기 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보 및 인증정보를 포함)를 포함하는 자산 정보를 추출하는 정보 추출 단계;
상기 자산 정보에 대한 연관관계를 설정하고, 상기 연관관계에 기초하여 자산 관계 그래프를 생성하는 데이터 관계 설정 단계;
상기 자산 관계 그래프를 기반으로 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 판단한 후 판단된 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 공격 그래프를 생성하는 공격 그래프 생성 단계; 및
상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석 단계를 포함하고,
상기 공격 그래프 생성 단계는, 상기 자산 관계 그래프를 사전에 학습해 두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 상기 자산 관계 그래프를 기반으로 경로를 탐색하여 상기 공격 그래프를 생성하되,
상기 데이터 관계 설정 단계는,
소정의 자산에 대한 상기 네트워크 토폴로지 및 상기 접근 제어목록 정보를 조회하여 상기 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출하고, 상기 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하여 상기 자산 정보에 대한 연관관계를 설정하며, 상기 도달 가능성 그룹에 대한 관계를 이용하여 상기 자산 관계 그래프를 생성하는 단계와,
상기 자산 중 적어도 하나의 정보가 변경된 경우 변경된 자산 정보를 기반으로 상기 자산 관계 그래프를 갱신하고, 자산별 보유 어플리케이션 서비스를 상기 인증정보를 통해 상기 자산의 특정 쉘(Shell)에 접근 가능 여부 기준으로 그룹화하고, 상기 자산과 해당 자산이 보유한 취약점 간의 연관관계를 재설정하여 상기 자산 관계 그래프를 갱신하는 단계를 포함하는
공격 대상 예측 방법.As an attack target prediction method of an attack target prediction device,
Vulnerability information (including asset public vulnerability information and vulnerability check result information), network information (including network topology and access control list information of the asset), and application information (including application service information executable on the asset, owner account information and information extraction step of extracting asset information including (including authentication information);
a data relationship setting step of setting a relationship for the asset information and generating an asset relationship graph based on the relationship;
After determining the reachability and vulnerability determined based on the asset information and the relationship based on the asset relationship graph, an attack candidate target is identified based on the determined reachability and the vulnerability, and the attack candidate target can be accessed an attack graph generating step of generating an attack graph by searching the asset relationship graph based on whether or not; and
An attack target analysis step of predicting an attack target based on the attack path searched based on the attack graph,
In the step of generating the attack graph, the asset relationship graph is learned in advance, and the attack graph is generated by searching a path based on the asset relationship graph immediately at a time point given the conditions for attack target prediction,
The data relationship setting step is,
An asset having the same reachability in the reachability matrix is calculated by inquiring the network topology and the access control list information for a given asset to calculate a reachability matrix for reachability with the remaining assets except for the prescribed asset establishing a relationship for the asset information by configuring them into reachability groups, and generating the asset relationship graph using the relationship for the reachability group;
When the information of at least one of the assets is changed, the asset relationship graph is updated based on the changed asset information, and application services owned by each asset are grouped based on whether a specific shell of the asset can be accessed through the authentication information. and updating the asset relationship graph by resetting the correlation between the asset and the vulnerability possessed by the asset.
How to predict an attack target. 삭제delete 삭제delete 삭제delete
KR1020190166029A 2019-12-12 2019-12-12 Method and apparatus for predicting attack target based on attack graph KR102295654B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190166029A KR102295654B1 (en) 2019-12-12 2019-12-12 Method and apparatus for predicting attack target based on attack graph

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190166029A KR102295654B1 (en) 2019-12-12 2019-12-12 Method and apparatus for predicting attack target based on attack graph

Publications (2)

Publication Number Publication Date
KR20210074891A KR20210074891A (en) 2021-06-22
KR102295654B1 true KR102295654B1 (en) 2021-08-30

Family

ID=76600636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190166029A KR102295654B1 (en) 2019-12-12 2019-12-12 Method and apparatus for predicting attack target based on attack graph

Country Status (1)

Country Link
KR (1) KR102295654B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102497865B1 (en) * 2022-07-13 2023-02-08 국방과학연구소 Apparatus and method for recommendation cyber offensive countermeasures
KR102639316B1 (en) 2023-06-01 2024-02-20 국방과학연구소 Method and apparatus of recommending cyber targets based on attack cost

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102408568B1 (en) * 2021-09-16 2022-06-14 주식회사 이글루코퍼레이션 Asset management device, method and program that uses cells and layers to mark detection of network threats
CN113992355B (en) * 2021-09-28 2023-11-07 新华三信息安全技术有限公司 Attack prediction method, device, equipment and machine-readable storage medium
CN113949570B (en) * 2021-10-18 2022-09-16 北京航空航天大学 Penetration test attack path selection method and system based on attack graph
CN114615066A (en) * 2022-03-17 2022-06-10 浙江网商银行股份有限公司 Target path determination method and device
US20240039944A1 (en) * 2022-07-30 2024-02-01 James Whitmore Automated Modeling and Analysis of Security Attacks and Attack Surfaces for an Information System or Computing Device
CN115913640B (en) * 2022-10-19 2023-09-05 南京南瑞信息通信科技有限公司 Large-scale network attack deduction and risk early warning method based on attack graph
CN116346480A (en) * 2023-03-31 2023-06-27 华能信息技术有限公司 Analysis method for network security operation workbench

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102153926B1 (en) * 2017-08-10 2020-09-10 한국전자통신연구원 Apparatus for enhancing network security and method for the same
KR20190119239A (en) * 2018-04-05 2019-10-22 주식회사 비즈프렌즈 Apparatus and method for managing IT security risk

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102497865B1 (en) * 2022-07-13 2023-02-08 국방과학연구소 Apparatus and method for recommendation cyber offensive countermeasures
KR102639316B1 (en) 2023-06-01 2024-02-20 국방과학연구소 Method and apparatus of recommending cyber targets based on attack cost

Also Published As

Publication number Publication date
KR20210074891A (en) 2021-06-22

Similar Documents

Publication Publication Date Title
KR102295654B1 (en) Method and apparatus for predicting attack target based on attack graph
CN111935192B (en) Network attack event tracing processing method, device, equipment and storage medium
Kaynar A taxonomy for attack graph generation and usage in network security
US20210194924A1 (en) Artificial intelligence adversary red team
Sohal et al. A cybersecurity framework to identify malicious edge device in fog computing and cloud-of-things environments
US20210256528A1 (en) Automated cloud security computer system for proactive risk detection and adaptive response to risks and method of using same
US8095984B2 (en) Systems and methods of associating security vulnerabilities and assets
US20210352095A1 (en) Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking
US20130167231A1 (en) Predictive scoring management system for application behavior
US9785755B2 (en) Predictive hypothesis exploration using planning
CN115277127A (en) Attack detection method and device for searching matching attack mode based on system tracing graph
Nkosi et al. Insider threat detection model for the cloud
Hankin et al. Attack dynamics: An automatic attack graph generation framework based on system topology, CAPEC, CWE, and CVE databases
Tayouri et al. A survey of mulval extensions and their attack scenarios coverage
US11025656B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
Mathew et al. Situation awareness of multistage cyber attacks by semantic event fusion
Marin et al. Inductive and deductive reasoning to assist in cyber-attack prediction
Liu et al. A Markov detection tree-based centralized scheme to automatically identify malicious webpages on cloud platforms
Nebbione et al. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments
Xuan et al. A novel intelligent cognitive computing-based APT malware detection for Endpoint systems
Xuan et al. New approach for APT malware detection on the workstation based on process profile
Kotenko et al. Analyzing network security using malefactor action graphs
Garg et al. A systematic review of attack graph generation and analysis techniques
Yeboah-Ofori et al. Cyber resilience in supply chain system security using machine learning for threat predictions
Al-Sada et al. MITRE ATT&CK: State of the Art and Way Forward

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant